目次
はじめに
SOCアナリストの仕事は「ただアラートを見ること」ではありません。
実際には、監視 → 検知 → 分析 → 対応 → 報告 という一連のフローを繰り返すことで、組織をサイバー攻撃から守っています。
この記事では、その基本的な流れを整理して解説します。
1. 監視(Monitoring)
- 目的:セキュリティイベントをリアルタイムで把握
- 方法:
- SIEMに集約されたログを常時モニタリング
- ダッシュボードやアラート通知を確認
- 定期的なレポートをチェック
例:
「深夜に海外IPから大量のログイン試行があった」 → アラート発生
2. 検知(Detection)
- 目的:異常なイベントをいち早く見つける
- 手法:
- シグネチャ検知(既知の攻撃パターン)
- 行動分析(ユーザーの普段と違うアクセスを検知)
- 脅威インテリジェンスとの突合
例:
「通常は日本からログインしているが、同時刻に海外からも成功ログインがある」 → なりすまし疑い
3. 分析(Analysis)
- 目的:誤検知か真のインシデントかを判断する
- 確認ポイント:
- 関連ログの突き合わせ(VPN、AD、EDR)
- IOC(IP、ドメイン、ファイルハッシュ)の確認
- MITRE ATT&CKで攻撃手法を特定
例:
「海外からのアクセスはVPN経由ではなく、異常なユーザーエージェントだった」 → 不正アクセスの可能性が高い
4. 対応(Response)
- 目的:被害を最小化する
- 初動対応の例:
- 感染端末を隔離
- アカウントを無効化/パスワードリセット
- FWやプロキシで攻撃元IPをブロック
- 二次対応の例:
- 被害範囲の調査
- 恒久対策(パッチ適用、ルール改善、MFA導入)
5. 報告(Reporting)
- 目的:関係者と情報を共有し、再発防止につなげる
- 内容:
- 発生したインシデントの概要
- 原因と影響範囲
- 対応内容と今後の対策
- 改善提案
例:
「不正アクセスは1アカウントに限定、被害なし。MFAを必須化することで再発防止を図る。」
まとめ
SOCの基本フローは以下の通りです。
- 監視:イベントを常時モニタリング
- 検知:異常や攻撃の兆候を捉える
- 分析:誤検知か本物かを判断
- 対応:即時の封じ込めと恒久対策
- 報告:関係者共有と改善
この流れを理解することが、SOCアナリストの第一歩です。
コメント